Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen los pasos que puede seguir para solucionar problemas y mensajes de error en el proxy de aplicación de Microsoft Entra.
Antes de empezar
Lo primero que hay que comprobar es el conector. Para obtener información sobre cómo depurar un conector de red privada, consulte Depuración de problemas de conectores de red privada. Si sigue teniendo problemas para conectarse a la aplicación, vuelva a este artículo para solucionar problemas de la aplicación.
Si un usuario encuentra un error al acceder o publicar una aplicación, siga estos pasos para comprobar que el proxy de aplicación de Microsoft Entra funciona correctamente:
Abra la consola de Servicios de Windows. Compruebe que el servicio de conector de red privada de Microsoft Entra está habilitado y en ejecución. Examine la página de propiedades del servicio proxy de aplicación.
Abra el Visor de eventos. Vaya a Registros de aplicaciones y servicios>Microsoft>Red privada de Entra>Conector>Admin y compruebe si hay eventos del conector de red privada.
Revise los registros detallados. Aprenda a activar los registros de sesión del conector de red privada.
Errores de configuración de la aplicación
Revise las secciones siguientes para conocer los problemas de configuración comunes y las soluciones sugeridas.
La aplicación no se renderiza correctamente
Tiene problemas con la representación de la aplicación o funciona incorrectamente, pero no aparece ningún mensaje de error específico.
Este problema se produce si una aplicación requiere contenido que existe fuera de la ruta de acceso que usó para publicar la aplicación.
Por ejemplo, si publiques la ruta https://yourapp/app, pero la aplicación hace referencia a imágenes que se encuentran en https://yourapp/media, las imágenes no aparecen en la aplicación.
Asegúrese de publicar la aplicación utilizando la ruta de acceso de nivel más alto necesaria para incluir todo el contenido y los archivos a los que se hace referencia. En el ejemplo, ese nivel es http://yourapp/.
Compruebe que los recursos que faltan provocaron el problema:
- Abra el rastreador de red, como mediante Fiddler o las herramientas de desarrollo del explorador (seleccione F12 en Internet Explorer o Microsoft Edge).
- Cargue la página.
- Busque errores de ID 404.
Un error 404 indica que no se pueden encontrar páginas y que necesita publicarlas.
La aplicación tarda demasiado tiempo en cargarse
Las aplicaciones pueden ser funcionales, pero tienen una latencia larga.
Puede realizar cambios en la topología de red para mejorar la velocidad de la aplicación. Revise las consideraciones de red.
Problema al publicar como una sola aplicación
Si no puede publicar todos los recursos en la misma aplicación, publique varias aplicaciones y configure vínculos entre ellos. En este escenario, se recomienda usar dominios personalizados. Sin embargo, esta solución requiere que posea el certificado para el dominio y que las aplicaciones usen nombres de dominio completos (FQDN). Para otras opciones, solucione problemas de vínculos rotos.
Problema al configurar la conectividad de una aplicación
Para conocer las causas y las resoluciones sugeridas, consulte Puertos para abrir para una aplicación proxy.
Problema al configurar el proxy de aplicación de Microsoft Entra en el portal de administración
Para conocer las causas y las resoluciones sugeridas, consulte Inicio de sesión único en una aplicación proxy de una aplicación.
Problema al establecer la autenticación de back-end en la aplicación
Para conocer las causas y las resoluciones sugeridas, consulte estos artículos:
- Solución de problemas de delegación restringida de Kerberos
- Acceso único mediante proxy de aplicación y PingAccess
No se puede iniciar sesión en la aplicación
Si ve el error This corporate app can’t be accessed y no puede iniciar sesión en la aplicación, se produjo un error de configuración. Para obtener soluciones sugeridas, consulte Solución de errores de tiempo de espera de puerta de enlace incorrectos.
Errores del conector de red privada
Para conocer las causas y las soluciones sugeridas, consulte Instalación del conector de red privada.
Errores de Kerberos
En la tabla siguiente se describen los errores más comunes y su resolución en la configuración e instalación de Kerberos:
| Error | Explicación y pasos que se deben realizar |
|---|---|
Failed to retrieve the current execution policy for running PowerShell scripts. |
Si se produce un error en la instalación del conector, compruebe que la directiva de ejecución de PowerShell no está deshabilitada. 1. Abra el Editor de directivas de grupo. 2. Vaya a Configuración del> equipoPlantillas> administrativasComponentes de>Windows Windows PowerShell y, a continuación, haga doble clic en Activar ejecución de scripts. 3. La directiva de ejecución puede definirse como No configurado o Habilitado. Si la directiva está establecida en Habilitado, asegúrese de que, en Opciones, la directiva de ejecución se establece en Permitir scripts locales y scripts firmados remotos o Permitir todos los scripts. |
12008 - Microsoft Entra exceeded the maximum number of permitted Kerberos authentication attempts to the backend server. |
Este error indica una configuración incorrecta entre Microsoft Entra ID y el servidor de aplicaciones back-end, o bien hay un problema con la configuración de hora y fecha en ambos equipos. El servidor back-end rechazó el ticket Kerberos que creó Microsoft Entra ID. Compruebe que microsoft Entra ID y el servidor de aplicaciones back-end estén configurados correctamente. Asegúrese de que la configuración de fecha y hora en el ID de Microsoft Entra y el servidor de aplicaciones de back-end estén sincronizados. |
13016 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because there is no UPN in the edge token or in the access cookie. |
Hay un problema con la configuración del servicio de token de seguridad (STS). Corrija la configuración de la reclamación del nombre principal de usuario (UPN) en el STS. |
13019 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because of the following general API error. |
Este evento indica una configuración incorrecta entre microsoft Entra ID y el servidor del controlador de dominio, o un problema en la configuración de fecha y hora en ambas máquinas. El controlador de dominio rechazó el vale Kerberos creado por Microsoft Entra ID. Compruebe que Microsoft Entra ID y el servidor de aplicaciones de back-end estén configurados correctamente, especialmente la configuración del nombre de entidad principal del servicio (SPN). Asegúrese de que el controlador de dominio establece la confianza con el identificador de Entra de Microsoft. Ambos deben usar el mismo dominio. Asegúrese de que la configuración de fecha y hora en el identificador de Microsoft Entra y el controlador de dominio están sincronizados. |
13020 - Microsoft Entra ID cannot retrieve a Kerberos ticket on behalf of the user because the back-end server SPN is not defined. |
Este evento indica una configuración incorrecta entre microsoft Entra ID y el servidor del controlador de dominio, o un problema en la configuración de fecha y hora en ambas máquinas. El controlador de dominio rechazó el vale Kerberos creado por Microsoft Entra ID. Compruebe que microsoft Entra ID y el servidor de aplicaciones back-end estén configurados correctamente, especialmente la configuración del SPN. Asegúrese de que el controlador de dominio establece la confianza con el identificador de Entra de Microsoft. Ambos deben usar el mismo dominio. Asegúrese de que la configuración de fecha y hora de Microsoft Entra ID y el controlador de dominio está sincronizada. |
13022 - Microsoft Entra ID cannot authenticate the user because the back-end server responds to Kerberos authentication attempts with an HTTP 401 error. |
Este evento indica una configuración incorrecta entre Microsoft Entra ID y el servidor de aplicaciones back-end, o un problema en la configuración de fecha y hora en ambas máquinas. El servidor back-end rechazó el ticket Kerberos creado por Microsoft Entra ID. Compruebe que microsoft Entra ID y el servidor de aplicaciones back-end estén configurados correctamente. Asegúrese de que la configuración de fecha y hora en el ID de Microsoft Entra y el servidor de aplicaciones backend estén sincronizados. Para obtener más detalles, consulte Solución de problemas de configuraciones de delegación restringida de Kerberos para el proxy de aplicaciones. |
Errores de usuario de la aplicación
En la tabla siguiente se describen los errores que puede encontrar un usuario de la aplicación al intentar acceder a una aplicación proxy de aplicación:
| Error | Explicación y pasos que se deben realizar |
|---|---|
The website cannot display the page. |
Un usuario ve el error cuando intenta acceder a una aplicación de autenticación integrada de Windows (IWA) publicada. El SPN definido para la aplicación es incorrecto. Asegúrese de que el SPN de la aplicación sea correcto. |
The website cannot display the page. |
Un usuario ve el error cuando intenta acceder a una aplicación de Outlook Web Application (OWA) que publicó. El problema es el resultado de: - El SPN definido para la aplicación es incorrecto. Asegúrese de que el SPN de la aplicación sea correcto. - El usuario que intentó acceder a la aplicación usa una cuenta Microsoft en lugar de su cuenta corporativa para iniciar sesión o el usuario es un usuario invitado. Asegúrese de que el usuario inicia sesión con una cuenta corporativa que coincida con el dominio de la aplicación publicada. Los usuarios e invitados de la cuenta Microsoft no pueden acceder a las aplicaciones IWA. - El usuario que intentó acceder a la aplicación no está definido correctamente para la aplicación en la configuración local. Asegúrese de que el usuario tiene los permisos locales necesarios para acceder a la aplicación back-end. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure to assign the user with access to the application. |
Este error se produce cuando un usuario intenta acceder a una aplicación mediante una cuenta Microsoft o como usuario invitado. Los usuarios e invitados de la cuenta Microsoft no pueden acceder a las aplicaciones IWA. Asegúrese de que el usuario inicia sesión con una cuenta corporativa que coincida con el dominio de la aplicación. Para corregir el problema, vaya a la pestaña Aplicación , en Usuarios y grupos, y asigne el usuario o grupo a la aplicación. |
This corporate app can’t be accessed right now. Please try again later… The connector timed out. |
El usuario que intentó acceder a la aplicación no está definido correctamente para la aplicación en la configuración local. Asegúrese de que el usuario tiene los permisos locales necesarios para acceder a la aplicación back-end. |
This corporate app can’t be accessed. You are not authorized to access the application. Authorization failed. Make sure that the user has a license for Microsoft Entra ID P1 or P2. |
Un usuario ve el error cuando intenta acceder a la aplicación que publicó si el administrador del suscriptor no le asignó explícitamente una licencia Premium. En la pestaña Licencias de id. de Microsoft Entra del suscriptor, asegúrese de que al usuario o grupo de usuarios se le asigna una licencia Premium. |
A server with the specified host name could not be found. |
Un usuario ve el error cuando intenta acceder a la aplicación publicada y el dominio personalizado de la aplicación no está configurado correctamente. Compruebe el certificado del dominio y configure el registro sistema de nombres de dominio (DNS) correctamente. Para obtener más información, consulte Trabajar con dominios personalizados en el proxy de aplicación de Microsoft Entra. |
Forbidden: This corporate app can't be accessed OR The user could not be authorized. Make sure the user is defined in your on-premises AD and that the user has access to the app in your on-premises AD. |
El problema podría ser un problema con el acceso a la información de autorización. Para más información, consulte (https://support.microsoft.com/help/331951/some-applications-and-apis-require-access-to-authorization-information). Para resolver el error, agregue la cuenta de equipo del conector de red privada al grupo de dominio integrado "Windows Authorization Access Group". |
InternalServerError: This corporate app can’t be accessed right now. Please try again later… ConnectorError:Unauthorized. |
El conector utiliza un certificado de cliente para proteger las conexiones salientes hacia los puntos de conexión en la nube del servicio proxy de aplicaciones de Microsoft Entra. El error se produce cuando el certificado de cliente no puede llegar al punto de conexión. Por ejemplo, puede producirse cuando un dispositivo de red realiza la inspección de seguridad de la capa de transporte (TLS) o interrumpe la conexión TLS. Para resolver el error, evite la inspección en línea y la interrupción de las comunicaciones TLS salientes. La inspección y la terminación no deben ocurrir entre los conectores de red privada de Microsoft Entra y los servicios de nube de proxy de aplicaciones de Microsoft Entra. |